妙用SSL給IIS加把鎖(一)_Web服務(wù)器教程
教程Tag:暫無Tag,歡迎添加,賺取U幣!
由于NT系統(tǒng)的易維護(hù)性,越來越多的中小企業(yè)在自己的網(wǎng)站上和內(nèi)部辦公管理系統(tǒng)上采用它,而且很多都是用默認(rèn)的IIS來做Web服務(wù)器使用。當(dāng)然不能否認(rèn)近來威脅NT系統(tǒng)的幾個(gè)漏洞都是由于IIS配置不當(dāng)造成的,而且可以預(yù)見,未來IIS還會(huì)被發(fā)現(xiàn)很多新的漏洞和安全問題,但只要我們做好合理的安全配置,還是可以避免很多安全隱患的。本文并沒有系統(tǒng)的去講如何全面安全的配置IIS,我只是從利用SSL加密HTTP通道來講如果加強(qiáng)IIS安全的。
一、建立SSL安全機(jī)制
IIS的身份認(rèn)證除了匿名訪問、基本驗(yàn)證和Windows NT請求/響應(yīng)方式外,還有一種安全性更高的認(rèn)證,就是通過SSL(Security Socket Layer)安全機(jī)制使用數(shù)字證書。SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間,建立用戶與服務(wù)器之間的加密通信,確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的,任何用戶都可以獲得公共密鑰來加密數(shù)據(jù),但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí),首先客戶端與服務(wù)器建立連接,服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端,客戶端隨機(jī)生成會(huì)話密鑰,用從服務(wù)器得到的公共密鑰對會(huì)話密鑰進(jìn)行加密,并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器,而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密,這樣,客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。
建立了SSL安全機(jī)制后,只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信,并且在使用URL資源定位器時(shí),輸入https:// ,而不是http://。
簡單的說默認(rèn)情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的,所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的,惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容。這點(diǎn)危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大,對于使用HUB的企業(yè)內(nèi)網(wǎng)來說簡直就是沒有任何安全可講因?yàn)槿魏稳硕伎梢栽谝慌_(tái)電腦上看到其他人在網(wǎng)絡(luò)中的活動(dòng),對于使用交換機(jī)來組網(wǎng)的網(wǎng)絡(luò)來說雖然安全威脅性要小很多,但很多時(shí)候還是會(huì)有安全突破口,比如沒有更改交換機(jī)的默認(rèn)用戶和口令,被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽口,依然可以監(jiān)視整個(gè)網(wǎng)絡(luò)的所有活動(dòng)。
所以全面加密整個(gè)網(wǎng)絡(luò)傳輸隧道的確是個(gè)很好的安全措施,很可惜的是現(xiàn)在網(wǎng)絡(luò)上有關(guān)于具體給IIS配置SSL的文章并不是很多,我簡單的摸索了下把我的經(jīng)驗(yàn)?zāi)贸鰜斫o大家分享。
二、操作辦法
以WIN2000服務(wù)器版本的來做例子講解的,我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務(wù),這個(gè)服務(wù)在默認(rèn)安裝中是沒有安裝在系統(tǒng)里的,需要安裝光盤來安裝。
一、建立SSL安全機(jī)制
IIS的身份認(rèn)證除了匿名訪問、基本驗(yàn)證和Windows NT請求/響應(yīng)方式外,還有一種安全性更高的認(rèn)證,就是通過SSL(Security Socket Layer)安全機(jī)制使用數(shù)字證書。SSL(加密套接字協(xié)議層)位于HTTP層和TCP層之間,建立用戶與服務(wù)器之間的加密通信,確保所傳遞信息的安全性。SSL是工作在公共密鑰和私人密鑰基礎(chǔ)上的,任何用戶都可以獲得公共密鑰來加密數(shù)據(jù),但解密數(shù)據(jù)必須要通過相應(yīng)的私人密鑰。使用SSL安全機(jī)制時(shí),首先客戶端與服務(wù)器建立連接,服務(wù)器把它的數(shù)字證書與公共密鑰一并發(fā)送給客戶端,客戶端隨機(jī)生成會(huì)話密鑰,用從服務(wù)器得到的公共密鑰對會(huì)話密鑰進(jìn)行加密,并把會(huì)話密鑰在網(wǎng)絡(luò)上傳遞給服務(wù)器,而會(huì)話密鑰只有在服務(wù)器端用私人密鑰才能解密,這樣,客戶端和服務(wù)器端就建立了一個(gè)惟一的安全通道。
建立了SSL安全機(jī)制后,只有SSL允許的客戶才能與SSL允許的Web站點(diǎn)進(jìn)行通信,并且在使用URL資源定位器時(shí),輸入https:// ,而不是http://。
簡單的說默認(rèn)情況下我們所使用的HTTP協(xié)議是沒有任何加密措施的,所有的消息全部都是以明文形式在網(wǎng)絡(luò)上傳送的,惡意的攻擊者可以通過安裝監(jiān)聽程序來獲得我們和服務(wù)器之間的通訊內(nèi)容。這點(diǎn)危害在一些企業(yè)內(nèi)部網(wǎng)絡(luò)中尤其比較大,對于使用HUB的企業(yè)內(nèi)網(wǎng)來說簡直就是沒有任何安全可講因?yàn)槿魏稳硕伎梢栽谝慌_(tái)電腦上看到其他人在網(wǎng)絡(luò)中的活動(dòng),對于使用交換機(jī)來組網(wǎng)的網(wǎng)絡(luò)來說雖然安全威脅性要小很多,但很多時(shí)候還是會(huì)有安全突破口,比如沒有更改交換機(jī)的默認(rèn)用戶和口令,被人上去把自己的網(wǎng)絡(luò)接口設(shè)置為偵聽口,依然可以監(jiān)視整個(gè)網(wǎng)絡(luò)的所有活動(dòng)。
所以全面加密整個(gè)網(wǎng)絡(luò)傳輸隧道的確是個(gè)很好的安全措施,很可惜的是現(xiàn)在網(wǎng)絡(luò)上有關(guān)于具體給IIS配置SSL的文章并不是很多,我簡單的摸索了下把我的經(jīng)驗(yàn)?zāi)贸鰜斫o大家分享。
二、操作辦法
以WIN2000服務(wù)器版本的來做例子講解的,我們首先需要在控制面板里的填加刪除WINDOWS組件中去安裝證書服務(wù),這個(gè)服務(wù)在默認(rèn)安裝中是沒有安裝在系統(tǒng)里的,需要安裝光盤來安裝。
相關(guān)Web服務(wù)器教程:
- 推薦!各類建站程序偽靜態(tài)規(guī)則代碼
- 詳細(xì)的DedeCMS(織夢)目錄權(quán)限安全設(shè)置教程
- iis安全設(shè)置全方位教程
- 巧妙出招致勝服務(wù)器管理
- Win Server 2003個(gè)人網(wǎng)絡(luò)服務(wù)器安全攻略
- Windows 2003校園Web服務(wù)器常見問題
- 清除IIS配置文件后門隱患
- Web服務(wù)器和應(yīng)用程序服務(wù)器有什么區(qū)別
- 虛擬主機(jī)下asp.net 2.0的導(dǎo)航控件treeview,menu等出錯(cuò)
- IIS6.0服務(wù)器架站無法訪問解決方案總結(jié)
- 圖解支持多語言環(huán)境的IIS服務(wù)器配置
- IIS服務(wù)器排錯(cuò)指南及錯(cuò)誤代碼大全
- 相關(guān)鏈接:
- 教程說明:
Web服務(wù)器教程-妙用SSL給IIS加把鎖(一)。